CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wtyczka Miniorange OTP Verification with Firebase dla WordPressa jest podatna na eskalację uprawnień w wersjach do 3.6.0 włącznie, z powodu niebezpiecznej domyślnej wartości 'administrator' dla opcji 'default_user_role'. Umożliwia to nieautoryzowanym atakującym rejestrację użytkownika z uprawnieniami administratora, nawet jeśli formularz rejestracji jest wyłączony.
Wtyczka Nextend Social Login Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 3.1.14 włącznie. Problem wynika z niewystarczającej weryfikacji użytkownika zwracanego przez token logowania społecznościowego.
Wtyczka WordPress Gallery Plugin – Limb Image Gallery w wersjach od n/a do 1.5.7 zawiera podatność na nieograniczone przesyłanie plików z niebezpiecznym typem, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wtyczki limb-gallery.
W podatności CVE-2024-49254 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w bibliotece ajax-extend w wersjach od n/a do 1.0. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu.
Podatność CVE-2024-49242 w systemie Shafiq Digital Lottery umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwerze WWW. Problem dotyczy wersji Digital Lottery od n/a do 3.0.5 włącznie.
Podatność CVE-2024-49227 dotyczy deserializacji niezaufanych danych w aplikacji Foter Free Stock Photos, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.5.4 włącznie.
Podatność CVE-2024-49218 dotyczy deserializacji nieufnych danych w wtyczce Recently dla WooCommerce, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach od n/a do 1.1.
Podatność CVE-2024-49216 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Feed Comments Number, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 0.2.1 włącznie.
Podatność CVE-2024-48035 dotyczy wtyczki ACF Images Search And Insert, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stwarza poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2024-48034 dotyczy aplikacji fliperrr, która umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
W podatności CVE-2024-48030 występuje problem deserializacji niezaufanych danych w aplikacji Webextends Telecash Ricaricaweb, co umożliwia wstrzyknięcie obiektów. Dotyczy to wersji Telecash Ricaricaweb od n/a do 2.2 włącznie.
Podatność CVE-2024-48028 dotyczy deserializacji niezaufanych danych w aplikacji IP Loc8 autorstwa Boyana Raicheva, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji IP Loc8 od n/a do 1.1 włącznie.
Podatność CVE-2024-48027 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki 'External featured image from bing'. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Podatność na deserializację niezaufanych danych w GMRobbins Disc Golf Manager umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Disc Golf Manager od n/a do 1.0.0 włącznie.
Podatność CVE-2024-47649 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki THATplugin Iconize. Problem ten występuje w wersjach Iconize od n/a do 1.2.4 włącznie.
Podatność CVE-2024-49271 dotyczy deserializacji niezaufanych danych w wtyczce Unlimited Elements For Elementor, co umożliwia wykonanie ataku typu Command Injection. Problem ten występuje w wersjach od n/a do 1.5.121.
Podatność CVE-2024-49257 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Azz Anonim Posting, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Azz Anonim Posting od n/a do 0.9 włącznie.
Podatność CVE-2024-49247 dotyczy wtyczki BuddyPress Better Registration w wersjach od n/a do 1.6, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.
Podatność CVE-2024-48042 dotyczy deserializacji niezaufanych danych w wtyczce Contact Form by Supsystic, co umożliwia wstrzyknięcie poleceń. Problem ten dotyczy wersji wtyczki od n/a do 1.7.28.
Podatność CVE-2023-32191 dotyczy sposobu, w jaki RKE przechowuje stan klastra w configmapie o nazwie `full-cluster-state` w przestrzeni nazw `kube-system`. Informacje te mogą być wykorzystane przez użytkowników nieposiadających uprawnień administratora do eskalacji swoich uprawnień do poziomu administratora.

